特斯拉前实习生发布60美元开源汽车系统破解工具包

franki

埃里克·伊文齐克（Eric Evenchick）知道听任交通状况摆布会是怎样一番景象。这或许就是这位特斯拉（Tesla）前实习生为什么如此渴望破解他乘坐的交通工具以获得更大控制权的原因所在。我们通过加密通话应用RedPhone进行交谈的时候，他滞留在香港机场等候延误的航班飞赴新加坡——他将在那里举行的亚洲黑帽大会（BlackHat Asia）上公布开源的CANard工具。

他的代码使那些喜欢鼓捣东西的人能够更加容易地进入联网汽车的系统内部，看看是否可以做出任何有用的调整，或者是否存在可供恶意黑客利用的、令人担忧的安全漏洞，而且这么做的代价比以往任何时候都要低。伊文齐克希望，CANard（基于广泛使用且备受欢迎的Python语言）将对整个汽车业产生更大的影响力。它应该可以让安全研究人员轻松地对汽车进行缺陷检查，伊文齐克希望藉此使他们更加重视针对汽车的黑客入侵。
他在最近几周完善了代码，把CANard变成了更加强大的工具。他对福布斯说，该工具现在能够对控制器局域网（Controller Area Network，简称CAN）进行适当的诊断（当今几乎所有汽车都安装了控制器局域网，被用来发送车辆数据）。这意味着任何了解或学过Python（对于新手来说这是非常好用的编程语言）的人都可以利用电脑来探索他们能够获得对哪些功能的控制权，无论是苹果Mac、微软Windows还是Linux电脑。他们还需要购买相关硬件来连接笔记本电脑和诊断系统，也就是OBD2接口，伊文齐克也提供这种接口。他将以59.95美元的超低价出售作为CAN和电脑连接装置的CANtact（不含USB和OBD2线）。第一批只有100个，但CANtact也是开源的，意味着它易于复制，那些拥有适当技能的人甚至可以让它更廉价。
最近几个月，安全研究人员多次突破汽车安全系统。今年1月，科里·图恩（Corey Thuen）披露美国前进保险公司（Progressive Insurance）的OBD2电子狗存在一个令人吃惊的安全漏洞。后来，得到美国国防部高级研究计划局（DARPA）资助的研究人员使用一台笔记本电脑对一辆汽车进行远程控制。
以前，只有掌握了更加昂贵的定制硬件并且了解汽车所采用的信息交换协议，才能够破解汽车系统。但在最近几年里，这个领域日益向普通人敞开大门。研究人员克里斯·瓦拉塞克（Chris Valasek）和查理·米勒（Charlie Miller）在2013年将他们的汽车破解工具开源（也包含了探测漏洞的Python脚本），后来又公布了无需真正获取控制权就能入侵汽车系统的操作指南，但他们不像伊文齐克那样提供硬件装置。伊文齐克相信，他的工具包比以往的工具更易于获取。
“我想使这件事变得简单容易。Python程序员能够获得代码……并以此开始工作。它也被当成程序库，而不只是脚本的集合。计划是围绕它打造出更多的功能，并使之成为开源工具。”我们通话结束后，他在电子邮件中这样写道。
但研究人员对于破解汽车系统不是很踊跃。由于大多数汽车制造商对安全研究人员并不上心，而且购买和测试车辆的费用很不便宜，因此伊文齐克、米勒、瓦拉塞克和其他很多人想让大家明白，人人都应该开始检测自己汽车的漏洞，以便使汽车厂商正视那些问题。伊文齐克说，这好过于等着灾难真正发生了才使制造商们改变对安全问题的思维方式。
“使诊断变得廉价，这意味着我们不仅可以检测系统的安全性，还可以利用诊断来实现其原本的用途：修复汽车。”他说，“一个大问题在于接触车辆。比如说，福特（Ford）不会让任何拥有安全技能的人走进他们的工厂去破解汽车系统。”
“我没法想接触多少汽车就接触多少汽车……实际上，我是向朋友借的车。”他说他再三发现汽车各项诊断功能的身份验证措施很不安全。“你能够读写你本不应该读写的数据。”

yfchen1003

看看！

333zc

hank

牛人哪里！